Lyukak tátonganak az Internet Explorerben is

A ˝http-equiv˝ becenevet viselő felfedező bukkant rá arra a két sérülékenységre az Internet Explorerben, melyeket a támadók akkor is ki tudnak használni, ha a Windows XP-s számítógépet már ellátták a második javítócsomaggal. Mindkettőt magasan kritikus minősítéssel illette a dán Secunia, IT-biztonsággal foglalkozó cég saját weboldalán.

Az első sebezhetőség az úgynevezett drag and drop események elégtelen hitelesítése miatt jelentkezik a rendszerben: az internetes zónából a helyi számítógéphez való hozzáférés válik jogosulatlanul lehetővé ennek kiaknázásával. Mindez egy speciális, beágyazott HTML-kód révén alkalmazható, s ha a támadó sikerrel jár, akár tetszése szerinti kódot is futtathat a helyi számítógépre vonatkozó biztonsági beállítások mellett.

Egy biztonsági zóna megkötési hiba szintén odavezethet, hogy sérülékennyé válhat a rendszer, ha Internet Explorert használunk. Az ismét a Microsoft böngészőjét érintő sérülékenység a HTML Helpjébe beágyazottan kerülhet kihasználásra; melyben egy speciális feltételeknek megfelelően létrehozott index állományra (.hhk) való hivatkozással élnek a támadók. Amennyiben sikerrel jár a támadás, helyi HTML állományokat (és a bennük levő kódokat) lehet futtatni.

A két hiba ideiglenes elhárítására a Secunia az Active Scripting kikapcsolását javasolja, illetve azt, hogy a felhasználó más terméket alkalmazzon böngészésre.